解读2023版二十五项反措：防止分散控制系统失灵事故（五）

新版二十五项反措9.5 防止保护系统失灵事故单独对热工保护系统提出了要求，在2014版此部分内容同样有13条，但大部分内容都发生了变化。今天我们对此进行对比分析，找出变化的原因和机理，供大家参考。

2023版9.5.1条与2014版9.4.1条完全相同，这一条是对热工保护信号类型的表述。我们知道对于开关量动作信号分为保持信号和脉冲信号，而脉冲信号又分为长脉冲和短脉冲。一般情况下，反映设备状态的信号都是保持信号，状态发生变化后信号发生变化，比如某个设备的启停状态。而对于指令信号一般使用脉冲信号，设备的控制信号当然是一种指令信号，所以一般采用脉冲信号。但是对于紧急停机电磁阀等主保护信号，要求使用保持信号，以达到保护的安全性。

2023版9.5.2条是对2014版9.4.2的修订，2014版保护信号要求使用“三取二”的方式，而2023版修订为了“三取二”和“四取二”两种方式。其实在日常工作中我们也会经常用到“四取二”的逻辑保护，比如上面提到的停机电磁阀主流设计都是“四取二”，一些小型的工业汽轮机则是“三取二”。

另一个变化是要求在测点数量不够时，应有防止保护误动和拒动的措施，2014版只提到了保护误动。实际上，测点数量不够造成保护拒动的情况也存在，比如笔者在之前工作中遇到过两个DEH转速探头故障，但是由于品质判断信号没有发出，造成汽轮机转速异常升高的现象。在这种情况下，即便转速超过保护定值，DEH超速保护也不会发出。

这一条还调到了保护信号供电应采用分路独立信号，2014版未做规定。这一条是对保护信号独立性的一个重要补充，之前我们提保护信号独立性往往想到的是信号取样点的独立性，信号采集卡件的独立性，相关电源系统也需要独立布置。这里同样可以参考汽轮机停机电磁阀，作为保护的执行机构，一般也是独立的电源布置。

2023版9.5.3条与2014版9.4.4条基本相同，但是描述更加确切。比如2014版说的是“分散控制系统的控制器发出的~~”修订为了“控制系统的控制器发出的~~”，比如单独配置的ETS系统就不能作为分散控制系统，所以这里描述更加精确。当然也提到了机组设置硬接线跳闸回路。需要说明的是，硬接线跳闸回路是完全独立于控制系统的，也就是说即便控制系统瘫痪掉，也要具备紧急停机、停炉的功能。之前在工作中遇到过润滑油控制系统单独设置有PLC控制器，而联启润滑油备用泵的硬接线需要经过控制器才能动作，这种设计也是危险的，大家可以自查一下自己家的系统是不是也有这样的设计。

2023版9.5.4条与2014版9.4.8条基本相同，首先强调的是汽轮机跳闸系统设计为失电动作，2014版描述的是“继电器失电动作”。这一条是原则设计，不能因为任何理由改变。之前遇到某垃圾焚烧电厂“三取二”的电磁阀设计为得电动作，后来工作中因为电磁阀多次异常故障，领导要求改为得电动作。这种要求不仅愚蠢而且置机组安全于不顾，设计为得电动作，一旦电磁阀在长期运行中故障，在紧急情况下都无法停机，后果不堪设想。后面提出的保护装置的独立性原则，与上文我们举的润滑油系统的例子其实是一个道理，必须保证保护系统的完全独立和后备手段独立。

2023版9.5.5条与2014版8.4.10条相同。这一条强调的保护逻辑的合理性原则，包括逻辑时序和相关延时时间、脉冲时间等设置合理。可以举个简单的例子，如下图所示的保护逻辑，同样的延时2S，延时放在取三取二或者三取二后，其实效果会有很大差别。当延时2S在三取二前，如果信号时长不够2S，可以避免动作输出。如果延时2S在三取二后，当汽包水位高1时长1.5秒后消失，汽包水位高2持续，汽包水位高3在汽包水位高1触发的第1.5秒内触发，并且两个信号的时长和达到了2S，那么也会触发保护动作。而单独看两个信号其实都没达到保护动作的条件，所以设计就存在不合理之处。

2023版9.5.6条是新增，强调重要辅机的启停状态必须真实，这里需要注意的是设备的启停状态、设备电源的合分状态、设备变频器的启停状态，分别代表不同的意义。

2023版9.5.7条是新增，对参与保护的模拟量信号进行了单独规定。比较经典的案例是汽包的平衡容器测量水位，需要引入温压补偿，一般是汽包压力和汽包壁温，这里的温压信号就不能使用单测点，需要多个测点取平均后参与到水位的补偿计算中。

2023版9.5.8条是新增，还是强调的保护信号的分散性原则，这里指的是参与保护的重要辅机控制要独立。之前的文章我们举过类似的例子，比如设计有五套制粉系统，要分别布置于不同的站点，避免一个站点故障引起多套制粉系统的跳闸。

2023版9.5.9条是新增，强调单台配置的重要辅机要避免保护误动的情况。比如某个挡板门的关闭会引起设备跳闸，如果挡板门的关闭状态使用的单信号，就会存在误动的可能。因此一般引入挡板门关闭状态、开状态取非、挡板门位置反馈＜5%和相关流量信号限值等作为在最终的判断信号。如下图所示，需要注意的是，未必是单设备才能采取此类方式，一般我们在逻辑组态时，相关信号都采用这种方式。

2023版9.5.10条是新增，是对辅机跳闸信号的规定。以引风机保护为例，如出口挡板关闭信号，直接以硬接线的方式进入DCS系统中，中间不做任何转换。不同系统间的重要联锁和控制信号，包括保护信号，比如汽轮机打闸信号去发电机，正常要配置冗余的硬接线信号。

2023版9.5.11条与2014版9.4.2条基本相同，与前文我们提到的9.5.3条其实类似，都是对于重要设备的硬接线手操手段的要求。这里单独举例了润滑油压力低信号直接送入到电气启动回路，避开相关DCS或者PLC等控制设备，前文我们也提到过。

2023版9.5.12条是新增，提到了测点取样的规范性问题，如果却因客观因素存在一些准确性问题，需要进行相关的修正。

2023版9.5.13条是新增，是对近几年出现的冗余控制器故障问题进行了规定，尤其是电子设备出现故障时进行重启后会自动恢复的情况，基本恢复后正常，也要切换至备用状态或者更换。我查了一些资料，以2019年为例，中国自动化学会统计了当年发生的控制器故障造成的机组异常事故7起，甚至造成了机组跳闸，还是需要格外重视。

上述是2023版二十五项反措9.5 防止保护系统失灵事故的简单分析，保护系统失灵在行业内部属于重大问题，也是日常检修、维护的重要方面，涉及机炉电化热多个专业，需要引起格外重视。

2023年4月1日 于上海！